Ottimizzare l'ambiente Active Directory con la soluzione Controllo integrità Active Directory in Log AnalyticsOptimize your Active Directory environment with the Active Directory Health Check solution in Log Analytics

Simbolo di Controllo integrità AD

È possibile usare la soluzione Controllo integrità Active Directory per valutare i rischi e l'integrità degli ambienti server a intervalli regolari.You can use the Active Directory Health Check solution to assess the risk and health of your server environments on a regular interval. Questo articolo descrive come installare e usare la soluzione in modo che si possano intraprendere azioni correttive per problemi potenziali.This article helps you install and use the solution so that you can take corrective actions for potential problems.

La soluzione offre un elenco con priorità di raccomandazioni specifiche per l'infrastruttura distribuita dei server,This solution provides a prioritized list of recommendations specific to your deployed server infrastructure. classificate in quattro aree di interesse che consentono di comprendere rapidamente il rischio e agire in maniera appropriata.The recommendations are categorized across four focus areas, which help you quickly understand the risk and take action.

Le raccomandazioni si basano sulla conoscenza e sull'esperienza acquisite dai tecnici Microsoft in base a migliaia di visite dei clienti.The recommendations are based on the knowledge and experience gained by Microsoft engineers from thousands of customer visits. Ogni raccomandazione fornisce informazioni aggiuntive sui motivi per cui un problema può essere rilevante per l'utente e su come implementare le modifiche suggerite.Each recommendation provides guidance about why an issue might matter to you and how to implement the suggested changes.

Si possono scegliere le aree di interesse più importanti per l'organizzazione e tenere traccia dello stato di avanzamento verso la realizzazione di un ambiente integro ed esente da rischi.You can choose focus areas that are most important to your organization and track your progress toward running a risk free and healthy environment.

Dopo aver aggiunto la soluzione e completato un controllo, nel dashboard di Controllo integrità AD per l'infrastruttura nell'ambiente vengono visualizzate le informazioni di riepilogo per le aree di interesse.After you've added the solution and a check is completed, summary information for focus areas is shown on the AD Health Check dashboard for the infrastructure in your environment. Le sezioni seguenti descrivono come usare le informazioni visualizzate nel dashboard di Controllo integrità AD, dove è possibile visualizzare, e quindi eseguire, le azioni consigliate per l'infrastruttura server di Active Directory.The following sections describe how to use the information on the AD Health Check dashboard, where you can view and then take recommended actions for your Active Directory server infrastructure.

Immagine del riquadro di Controllo integrità AD

Immagine del dashboard di Controllo integrità AD

PrerequisitiPrerequisites

  • La soluzione Controllo integrità Active Directory richiede l'installazione di una versione supportata di .NET Framework 4.5.2 o successiva in ogni computer in cui è installato Microsoft Monitoring Agent (MMA).The Active Directory Health Check solution requires a supported version of .NET Framework 4.5.2 or above installed on each computer that has the Microsoft Monitoring Agent (MMA) installed. L'agente MMA viene usato da System Center 2016 Operations Manager e Operations Manager 2012 R2, oltre che dal servizio Log Analytics.The MMA agent is used by System Center 2016 - Operations Manager and Operations Manager 2012 R2, and the Log Analytics service.
  • La soluzione supporta controller di dominio che eseguono Windows Server 2008 e 2008 R2, Windows Server 2012 e 2012 R2 e Windows Server 2016.The solution supports domain controllers running Windows Server 2008 and 2008 R2, Windows Server 2012 and 2012 R2, and Windows Server 2016.
  • Area di lavoro di Log Analytics per aggiungere la soluzione Controllo integrità Active Directory da Azure Marketplace al portale di Azure.A Log Analytics workspace to add the Active Directory Health Check solution from the Azure marketplace in the Azure portal. Non è richiesta alcuna ulteriore configurazione.There is no further configuration required.

    Nota

    Dopo aver aggiunto la soluzione, il file AdvisorAssessment.exe viene aggiunto al server con agenti.After you've added the solution, the AdvisorAssessment.exe file is added to servers with agents. I dati di configurazione vengono letti e quindi inviati al servizio Log Analytics nel cloud per l'elaborazione.Configuration data is read and then sent to the Log Analytics service in the cloud for processing. Viene applicata la logica ai dati ricevuti, quindi questi ultimi vengono registrati nel servizio cloud.Logic is applied to the received data and the cloud service records the data.

Per eseguire il controllo integrità dei controller di dominio che sono membri del dominio da valutare, sono necessari un agente e la connettività a Log Analytics tramite uno dei metodi supportati seguenti:To perform the health check against your domain controllers that are members of the domain to be evaluated, they require an agent and connectivity to Log Analytics using one of the following supported methods:

  1. Installare Microsoft Monitoring Agent (MMA) se il controller di dominio non è già monitorato da System Center 2016 Operations Manager o Operations Manager 2012 R2.Install the Microsoft Monitoring Agent (MMA) if the domain controller is not already monitored by System Center 2016 - Operations Manager or Operations Manager 2012 R2.
  2. Se si esegue il monitoraggio con System Center 2016 Operations Manager o Operations Manager 2012 R2 e il gruppo di gestione non è integrato con il servizio Log Analytics, è possibile usare una configurazione multihomed del controller di dominio con Log Analytics per raccogliere i dati e inoltrarli al servizio, mantenendo il monitoraggio di Operations Manager.If it is monitored with System Center 2016 - Operations Manager or Operations Manager 2012 R2 and the management group is not integrated with the Log Analytics service, the domain controller can be multi-homed with Log Analytics to collect data and forward to the service and still be monitored by Operations Manager.
  3. In caso contrario, se il gruppo di gestione di Operations Manager è integrato con il servizio, è necessario aggiungere i controller di dominio per la raccolta dati da parte del servizio seguendo i passaggi descritti in Aggiungere computer gestiti dagli agenti dopo aver abilitato la soluzione nell'area di lavoro.Otherwise, if your Operations Manager management group is integrated with the service, you need to add the domain controllers for data collection by the service following the steps under add agent-managed computers after you enable the solution in your workspace.

L'agente nel controller di dominio che invia i contenuti a un gruppo di gestione di Operations Manager raccoglie i dati e li inoltra al server di gestione assegnato, quindi viene eseguito l'invio direttamente da un server di gestione al servizio Log Analytics.The agent on your domain controller which reports to an Operations Manager management group, collects data, forwards to its assigned management server, and then is sent directly from a management server to the Log Analytics service. I dati non vengono scritti nei database di Operations Manager.The data is not written to the Operations Manager databases.

Informazioni dettagliate sulla raccolta dati di Controllo integrità Active DirectoryActive Directory Health Check data collection details

Controllo integrità Active Directory raccoglie i dati dalle origini seguenti usando l'agente abilitato:Active Directory Health Check collects data from the following sources using the agent that you have enabled:

  • RegistroRegistry
  • LDAPLDAP
  • .NET Framework.NET Framework
  • Registro eventiEvent log
  • Active Directory Service Interfaces (ADSI)Active Directory Service interfaces (ADSI)
  • Windows PowerShellWindows PowerShell
  • Dati dei fileFile data
  • Strumentazione gestione Windows (WMI)Windows Management Instrumentation (WMI)
  • API dello strumento DCDIAGDCDIAG tool API
  • API di File Replication Service (NTFRS)File Replication Service (NTFRS) API
  • Codice personalizzato in C#Custom C# code

I dati vengono raccolti nel controller di dominio e inoltrati a Log Analytics ogni sette giorni.Data is collected on the domain controller and forwarded to Log Analytics every seven days.

Informazioni sulla classificazione in ordine di priorità delle raccomandazioniUnderstanding how recommendations are prioritized

A ogni raccomandazione generata viene assegnato un valore di ponderazione che identifica l'importanza relativa della raccomandazione.Every recommendation made is given a weighting value that identifies the relative importance of the recommendation. Vengono visualizzate solo le 10 raccomandazioni più importanti.Only the 10 most important recommendations are shown.

Come vengono calcolate le ponderazioniHow weights are calculated

Le ponderazioni sono valori aggregati che si basano su tre fattori chiave:Weightings are aggregate values based on three key factors:

  • La probabilità che un problema identificato causi inconvenienti.The probability that an issue identified causes problems. Una probabilità più elevata equivale a un punteggio complessivamente maggiore per la raccomandazione.A higher probability equates to a larger overall score for the recommendation.
  • L' impatto del problema per l'organizzazione se causa effettivamente un problema.The impact of the issue on your organization if it does cause a problem. Un impatto più elevato equivale a un punteggio complessivamente maggiore per la raccomandazione.A higher impact equates to a larger overall score for the recommendation.
  • Il lavoro richiesto per implementare la raccomandazione.The effort required to implement the recommendation. Un lavoro richiesto più elevato equivale a un punteggio complessivamente inferiore per la raccomandazione.A higher effort equates to a smaller overall score for the recommendation.

La ponderazione per ogni raccomandazione è espressa come percentuale del punteggio totale disponibile per ogni area di interesse.The weighting for each recommendation is expressed as a percentage of the total score available for each focus area. Ad esempio, se una raccomandazione nell'area di interesse Sicurezza e conformità ha un punteggio pari al 5%, l'implementazione della raccomandazione aumenta del 5% il punteggio complessivo di quell'area.For example, if a recommendation in the Security and Compliance focus area has a score of 5%, implementing that recommendation increases your overall Security and Compliance score by 5%.

Aree di interesseFocus areas

Sicurezza e conformità : quest'area di interesse descrive raccomandazioni relative alle potenziali minacce e violazioni della sicurezza, ai criteri aziendali e ai requisiti di conformità tecnici, legali e normativi.Security and Compliance - This focus area shows recommendations for potential security threats and breaches, corporate policies, and technical, legal and regulatory compliance requirements.

Disponibilità e continuità aziendale : quest'area di interesse descrive raccomandazioni relative alla disponibilità del servizio, alla resilienza dell'infrastruttura e alla protezione aziendale.Availability and Business Continuity - This focus area shows recommendations for service availability, resiliency of your infrastructure, and business protection.

Prestazioni e scalabilità : quest'area di interesse descrive raccomandazioni utili per favorire la crescita dell'infrastruttura IT dell'organizzazione, assicurando che l'ambiente IT soddisfi gli attuali requisiti in termini di prestazioni e possa rispondere alle mutevoli esigenze dell'infrastruttura.Performance and Scalability - This focus area shows recommendations to help your organization's IT infrastructure grow, ensure that your IT environment meets current performance requirements, and is able to respond to changing infrastructure needs.

Aggiornamento, migrazione e distribuzione : quest'area di interesse descrive raccomandazioni utili per aggiornare, eseguire la migrazione e distribuire Active Directory nell'infrastruttura esistente.Upgrade, Migration and Deployment - This focus area shows recommendations to help you upgrade, migrate, and deploy Active Directory to your existing infrastructure.

È consigliabile mirare a ottenere un punteggio del 100% in tutte le aree di interesse?Should you aim to score 100% in every focus area?

Non necessariamente.Not necessarily. Le raccomandazioni si basano sulla conoscenza e sull'esperienza acquisite dai tecnici Microsoft attraverso migliaia di visite dei clienti.The recommendations are based on the knowledge and experiences gained by Microsoft engineers across thousands of customer visits. Non esistono tuttavia due infrastrutture di server uguali e raccomandazioni specifiche possono essere più o meno pertinenti per l'utente.However, no two server infrastructures are the same, and specific recommendations may be more or less relevant to you. Ad esempio, alcune raccomandazioni sulla sicurezza possono risultare meno pertinenti se le macchine virtuali non sono esposte a Internet.For example, some security recommendations might be less relevant if your virtual machines are not exposed to the Internet. Alcune raccomandazioni sulla disponibilità possono risultare meno pertinenti per i servizi che forniscono creazione di report e raccolta dei dati ad hoc a bassa priorità.Some availability recommendations may be less relevant for services that provide low priority ad hoc data collection and reporting. I problemi che possono essere importanti per un'azienda collaudata possono esserlo meno per una start-up.Issues that are important to a mature business may be less important to a start-up. È consigliabile identificare quali sono le proprie aree di interesse prioritarie e quindi osservare il cambiamento dei punteggi nel tempo.You may want to identify which focus areas are your priorities and then look at how your scores change over time.

Ogni raccomandazione include informazioni aggiuntive sui motivi per cui potrebbe essere importante.Every recommendation includes guidance about why it is important. È consigliabile usare queste informazioni aggiuntive per valutare se l'implementazione della raccomandazione è appropriata, a seconda della natura dei servizi IT e delle esigenze aziendali dell'organizzazione.You should use this guidance to evaluate whether implementing the recommendation is appropriate for you, given the nature of your IT services and the business needs of your organization.

Usare le raccomandazioni relative alle aree di interesse del controllo integritàUse health check focus area recommendations

Dopo l'installazione, è possibile visualizzare il riepilogo delle raccomandazioni usando il riquadro di Controllo integrità nella pagina della soluzione nel portale di Azure.After it is installed, you can view the summary of recommendations by using the Health Check tile on the solution page in the Azure portal.

Visualizzare il riepilogo delle valutazioni relative alla conformità per l'infrastruttura, quindi visualizzare le raccomandazioni nel dettaglio.View the summarized compliance assessments for your infrastructure and then drill-into recommendations.

Per visualizzare le raccomandazioni per un'area di interesse e applicare un'azione correttivaTo view recommendations for a focus area and take corrective action

  1. Accedere al portale di Azure all'indirizzo https://portal.azure.com.Log in to the Azure portal at https://portal.azure.com.
  2. Nel portale di Azure fare clic su Altri servizi nell'angolo in basso a sinistra.In the Azure portal, click More services found on the lower left-hand corner. Nell'elenco delle risorse digitare Log Analytics.In the list of resources, type Log Analytics. Non appena si inizia a digitare, l'elenco viene filtrato in base all'input.As you begin typing, the list filters based on your input. Selezionare Log Analytics.Select Log Analytics.
  3. Nel riquadro delle sottoscrizioni di Log Analytics selezionare un'area di lavoro e quindi fare clic sul riquadro del Portale di OMS.In the Log Analytics subscriptions pane, select a workspace and then click the OMS Portal tile.
  4. Nella pagina Panoramica fare clic sul riquadro di Controllo integrità AD.On the Overview page, click the AD Health Check tile.
  5. Nella pagina Controllo integrità esaminare le informazioni di riepilogo in uno dei pannelli delle aree di interesse e quindi fare clic su un'area specifica per visualizzare le raccomandazioni corrispondenti.On the Health Check page, review the summary information in one of the focus area blades and then click one to view recommendations for that focus area.
  6. In una delle pagine relative alle aree di interesse è possibile visualizzare le raccomandazioni relative all'ambiente specifico, classificate in ordine di priorità.On any of the focus area pages, you can view the prioritized recommendations made for your environment. Fare clic su una raccomandazione in Affected Objects (Oggetti interessati) per visualizzare i dettagli relativi al motivo per cui è stata generata.Click a recommendation under Affected Objects to view details about why the recommendation is made.

    Immagine delle raccomandazioni di Controllo integritàimage of Health Check recommendations
  7. È possibile eseguire le azioni correttive suggerite in Suggested Actions(Azioni suggerite).You can take corrective actions suggested in Suggested Actions. Dopo la risoluzione dell'elemento, le valutazioni successive indicano che le azioni consigliate sono state effettuate e il punteggio relativo alla conformità aumenterà.When the item has been addressed, later assessments records that recommended actions were taken and your compliance score will increase. Gli elementi corretti vengono visualizzati come Passed Objects.Corrected items appear as Passed Objects.

Ignorare le raccomandazioniIgnore recommendations

Per ignorare alcune raccomandazioni, è possibile creare un file di testo che Log Analytics userà per impedire la visualizzazione delle raccomandazioni nei risultati della valutazione.If you have recommendations that you want to ignore, you can create a text file that Log Analytics will use to prevent recommendations from appearing in your assessment results.

Per identificare le raccomandazioni che verranno ignorateTo identify recommendations that you will ignore

  1. Nel portale di Azure, nella pagina dell'area di lavoro di Log Analytics per l'area di lavoro selezionata, fare clic sul riquadro Ricerca log.In the Azure portal on the Log Analytics workspace page for your selected workspace, click the Log Search tile.
  2. Usare la query seguente per elencare le raccomandazioni non riuscite per i computer nell'ambiente.Use the following query to list recommendations that have failed for computers in your environment.

    Type=ADAssessmentRecommendation RecommendationResult=Failed | select Computer, RecommendationId, Recommendation | sort Computer
    

    Nota

    Se l'area di lavoro è stata aggiornata al nuovo linguaggio di query di Log Analytics, la query precedente verrà sostituita dalla seguente.If your workspace has been upgraded to the new Log Analytics query language, then the above query would change to the following.

    ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

    Ecco lo screenshot che mostra la query di ricerca nei log: Here's a screen shot showing the Log Search query:

    raccomandazioni non riuscite

  3. Scegliere le raccomandazioni che si vogliono ignorare.Choose recommendations that you want to ignore. Nella procedura successiva verranno usati i valori per ID raccomandazione.You’ll use the values for RecommendationId in the next procedure.

Per creare e usare un file di testo IgnoreRecommendations.txtTo create and use an IgnoreRecommendations.txt text file

  1. Creare un file denominato IgnoreRecommendations.txt.Create a file named IgnoreRecommendations.txt.
  2. Incollare o digitare ciascun ID raccomandazione per ogni raccomandazione che Log Analytics dovrà ignorare in una riga separata e quindi salvare e chiudere il file.Paste or type each RecommendationId for each recommendation that you want Log Analytics to ignore on a separate line and then save and close the file.
  3. Inserire il file nella cartella seguente in ogni computer in cui si vuole che Log Analytics ignori le raccomandazioni.Put the file in the following folder on each computer where you want Log Analytics to ignore recommendations.
    • Nei computer con Microsoft Monitoring Agent, connesso direttamente o tramite Operations Manager, UnitàSistema:\Programmi\Microsoft Monitoring Agent\AgentOn computers with the Microsoft Monitoring Agent (connected directly or through Operations Manager) - SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Nel server di gestione di Operations Manager 2012 R2, UnitàSistema:\Programmi\Microsoft System Center 2012 R2\Operations Manager\ServerOn the Operations Manager 2012 R2 management server - SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Nel server di gestione di Operations Manager 2016, UnitàSistema:\Programmi\Microsoft System Center 2016\Operations Manager\ServerOn the Operations Manager 2016 management server - SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Per verificare che le raccomandazioni vengano ignorateTo verify that recommendations are ignored

Dopo l'esecuzione del controllo integrità successivo pianificato, per impostazione predefinita ogni sette giorni, le raccomandazioni specificate vengono contrassegnate come ignorate e non vengono visualizzate nel dashboard.After the next scheduled health check runs, by default every seven days, the specified recommendations are marked Ignored and will not appear on the dashboard.

  1. È possibile usare le query di Ricerca log seguenti per elencare tutte le raccomandazioni ignorate.You can use the following Log Search queries to list all the ignored recommendations.

    Type=ADAssessmentRecommendation RecommendationResult=Ignored | select  Computer, RecommendationId, Recommendation | sort  Computer
    

    Nota

    Se l'area di lavoro è stata aggiornata al nuovo linguaggio di query di Log Analytics, la query precedente verrà sostituita dalla seguente.If your workspace has been upgraded to the new Log Analytics query language, then the above query would change to the following.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Se in seguito si decide che si vogliono vedere le raccomandazioni ignorate, rimuovere eventuali file IgnoreRecommendations.txt oppure è possibile rimuovere gli ID raccomandazione dagli stessi.If you decide later that you want to see ignored recommendations, remove any IgnoreRecommendations.txt files, or you can remove RecommendationIDs from them.

Domande frequenti sulla soluzione Controllo integrità ADAD Health Check solutions FAQ

Con che frequenza viene eseguito un controllo integrità?How often does a health check run?

  • Il controllo viene eseguito ogni sette giorni.The check runs every seven days.

È possibile configurare la frequenza di esecuzione del controllo integrità?Is there a way to configure how often the health check runs?

  • Attualmente non è possibile.Not at this time.

Se viene rilevato un altro server dopo l'aggiunta di una soluzione di controllo integrità, il server verrà controllato?If another server for is discovered after I’ve added a health check solution, will it be checked

  • Sì, dal momento in cui viene rilevato verrà controllato ogni sette giorni.Yes, once it is discovered it is checked from then on, every seven days.

Se un server viene ritirato, quando sarà rimosso dal controllo integrità?If a server is decommissioned, when will it be removed from the health check?

  • Se un server non invia dati per 3 settimane, verrà rimosso.If a server does not submit data for 3 weeks, it is removed.

Qual è il nome del processo che esegue la raccolta di dati?What is the name of the process that does the data collection?

  • AdvisorAssessment.exeAdvisorAssessment.exe

Quanto tempo occorre per la raccolta di dati?How long does it take for data to be collected?

  • La raccolta di dati effettiva sul server richiede circa 1 ora.The actual data collection on the server takes about 1 hour. Potrebbe essere necessario più tempo nei server in cui è presente un numero elevato di server di Active Directory.It may take longer on servers that have a large number of Active Directory servers.

È possibile definire l'orario per la raccolta di dati?Is there a way to configure when data is collected?

  • Attualmente non è possibile.Not at this time.

Perché vengono visualizzate solo le prime 10 raccomandazioni?Why display only the top 10 recommendations?

  • Invece di esaminare un lunghissimo elenco completo di attività, è consigliabile concentrare l'attenzione sulle raccomandazioni con priorità maggiore.Instead of giving you an exhaustive overwhelming list of tasks, we recommend that you focus on addressing the prioritized recommendations first. Dopo la verifica delle raccomandazioni principali, verranno rese disponibili raccomandazioni aggiuntive.After you address them, additional recommendations will become available. Se si preferisce visualizzare l'elenco dettagliato, usare Ricerca log per mostrare tutte le raccomandazioni.If you prefer to see the detailed list, you can view all recommendations using Log Search.

È possibile ignorare una raccomandazione?Is there a way to ignore a recommendation?

Passaggi successiviNext steps